Bem-vindo ao terceiro post da série Cisco ISE. Os links para todos os artigos da série são fornecidos abaixo:
Neste post, você vai mergulhar no acesso de convidados, bem como um guia passo a passo para integrar Cisco ISE e FortiGate para configurar o FortiAP, um ponto de acesso da Fortinet (em geral, qualquer dispositivo que suporte RAIO CoA — Alteração de Autorização).
Em anexo estão os nossos artigos. .
NotaR: Os dispositivos Check Point SMB não suportam RADIUS CoA.
Maravilhoso descreve em inglês como criar um acesso de convidado usando o Cisco ISE em um Cisco WLC (Wireless Controller). Vamos descobrir!
1. 1. Introdução
O acesso de convidados (portal) permite que você forneça acesso à Internet ou a recursos internos para convidados e usuários que você não deseja deixar entrar em sua rede local. Existem 3 tipos predefinidos de portal de visitantes (portal de visitantes):
-
Portal do Hotspot Guest - O acesso à rede é fornecido aos convidados sem dados de login. Os usuários geralmente são obrigados a aceitar a "Política de Uso e Privacidade" da empresa antes de acessar a rede.
-
Portal Sponsored-Guest - o acesso à rede e os dados de login devem ser emitidos pelo patrocinador - usuário responsável por criar contas de convidados no Cisco ISE.
-
Portal do visitante auto-registrado - neste caso, os convidados usam detalhes de login existentes ou criam uma conta para si mesmos com detalhes de login, mas a confirmação do patrocinador é necessária para obter acesso à rede.
Vários portais podem ser implantados no Cisco ISE ao mesmo tempo. Por padrão, no portal de visitantes, o usuário verá o logotipo da Cisco e as frases comuns padrão. Tudo isso pode ser personalizado e até configurado para exibir anúncios obrigatórios antes de obter acesso.
A configuração do acesso do convidado pode ser dividida em 4 etapas principais: configuração do FortiAP, conectividade Cisco ISE e FortiAP, criação do portal do convidado e configuração da política de acesso.
2. Configurando o FortiAP no FortiGate
O FortiGate é um controlador de ponto de acesso e todas as configurações são feitas nele. Os pontos de acesso FortiAP suportam PoE, portanto, depois de conectá-lo à rede via Ethernet, você pode iniciar a configuração.
1) No FortiGate, vá para a guia Controlador WiFi e switch > FortiAPs gerenciados > Criar novo > AP gerenciado. Usando o número de série exclusivo do ponto de acesso, impresso no próprio ponto de acesso, adicione-o como um objeto. Ou ele pode se mostrar e então pressionar Autorizar usando o botão direito do mouse.
2) As configurações do FortiAP podem ser padrão, por exemplo, deixe como na captura de tela. Eu recomendo ativar o modo 5 GHz, porque alguns dispositivos não suportam 2.4 GHz.
3) Em seguida, na guia WiFi & Switch Controller > Perfis FortiAP > Criar novo estamos criando um perfil de configurações para o ponto de acesso (versão do protocolo 802.11, modo SSID, frequência do canal e seu número).
Exemplo de configuração do FortiAP
4) O próximo passo é criar um SSID. Ir para a guia WiFi & Switch Controller > SSIDs > Criar novo > SSID. Aqui do importante deve ser configurado:
-
espaço de endereço para WLAN convidado - IP/Netmask
-
RADIUS Accounting e Secure Fabric Connection no campo Administrative Access
-
Opção de Detecção de Dispositivo
-
Opção de SSID e SSID de transmissão
-
Configurações do modo de segurança > Portal Cativo
-
Authentication Portal - Externo e insira um link para o portal de convidados criado do Cisco ISE da etapa 20
-
Grupo de usuários - Grupo de convidados - Externo - adicione RADIUS ao Cisco ISE (p. 6 em diante)
Exemplo de configuração de SSID
5) Então você deve criar regras na política de acesso no FortiGate. Ir para a guia Política e objetos > Política de firewall e crie uma regra assim:
3. Configuração do RAIO
6) Vá para a interface da web Cisco ISE para a guia Política > Elementos da política > Dicionários > Sistema > Radius > Fornecedores RADIUS > Adicionar. Nesta guia, adicionaremos o Fortinet RADIUS à lista de protocolos suportados, pois quase todos os fornecedores têm seus próprios atributos específicos - VSA (Atributos específicos do fornecedor).
Uma lista de atributos Fortinet RADIUS pode ser encontrada . Os VSAs são diferenciados por seu número de ID de fornecedor exclusivo. Fortinet tem este ID = 12356. Completo O VSA foi publicado pela IANA.
7) Defina o nome do dicionário, especifique Vendor ID (12356) e pressione Enviar.
8) Depois de irmos para Administração > Perfis de dispositivos de rede > Adicionar e crie um novo perfil de dispositivo. No campo RADIUS Dictionaries, selecione o dicionário Fortinet RADIUS criado anteriormente e selecione os métodos CoA a serem usados posteriormente na política ISE. Eu escolhi RFC 5176 e Port Bounce (desligamento/sem desligamento da interface de rede) e os VSAs correspondentes:
Fortinet-Access-Profile=ler-escrever
Nome do grupo Fortinet = fmg_faz_admins
9) Em seguida, adicione FortiGate para conectividade com ISE. Para fazer isso, vá para a guia Administração > Recursos de rede > Perfis de dispositivos de rede > Adicionar. Campos a serem alterados Nome, Fornecedor, Dicionários RADIUS (O endereço IP é usado pelo FortiGate, não pelo FortiAP).
Exemplo de configuração do RADIUS do lado do ISE
10) Depois disso, você deve configurar o RADIUS no lado do FortiGate. Na interface da Web do FortiGate, vá para Usuário e autenticação > Servidores RADIUS > Criar novo. Especifique o nome, endereço IP e Segredo compartilhado (senha) do parágrafo anterior. Próximo clique Credenciais de usuário de teste e insira quaisquer credenciais que possam ser acessadas via RADIUS (por exemplo, um usuário local no Cisco ISE).
11) Adicione um servidor RADIUS ao Grupo de Convidados (caso não exista) assim como uma fonte externa de usuários.
12) Não se esqueça de adicionar o grupo de convidados ao SSID que criamos anteriormente na etapa 4.
4. Configuração de autenticação do usuário
13) Opcionalmente, você pode importar um certificado para o portal de convidados ISE ou criar um certificado autoassinado na guia Centros de trabalho > Acesso de convidados > Administração > Certificação > Certificados do sistema.
14) Depois na aba Centros de trabalho > Acesso de convidado > Grupos de identidade > Grupos de identidade de usuário > Adicionar crie um novo grupo de usuários para acesso de convidado ou use os padrão.
15) Mais adiante na guia Administração > Identidades crie usuários convidados e adicione-os aos grupos do parágrafo anterior. Se você quiser usar contas de terceiros, pule esta etapa.
16) Depois vamos para as configurações Centros de trabalho > Acesso de convidados > Identidades > Sequência da fonte de identidade > Sequência do portal de visitantes — esta é a sequência de autenticação padrão para usuários convidados. E no campo Lista de Pesquisa de Autenticação selecione a ordem de autenticação do usuário.
17) Para notificar os convidados com uma senha de uso único, você pode configurar provedores de SMS ou um servidor SMTP para essa finalidade. Ir para a guia Centros de trabalho > Acesso de convidado > Administração > Servidor SMTP ou Provedores de gateway de SMS para essas configurações. No caso de um servidor SMTP, você precisa criar uma conta para o ISE e especificar os dados nesta guia.
18) Para notificações por SMS, use a guia apropriada. O ISE tem perfis pré-instalados de provedores de SMS populares, mas é melhor criar o seu próprio. Use esses perfis como um exemplo de configuração Gateway de E-mail SMSy ou API SMS HTTP.
Um exemplo de configuração de um servidor SMTP e um gateway SMS para uma senha única
5. Configurando o portal de visitantes
19) Conforme mencionado no início, existem 3 tipos de portais de visitantes pré-instalados: Hotspot, Patrocinado, Autorregistrado. Sugiro escolher a terceira opção, pois é a mais comum. De qualquer forma, as configurações são praticamente idênticas. Então vamos para a aba. Centros de trabalho > Acesso de convidados > Portais e componentes > Portais de convidados > Portal de convidados autorregistrado (padrão).
20) Em seguida, na guia Personalização da página do portal, selecione “Ver em russo - russo”, para que o portal seja exibido em russo. Você pode alterar o texto de qualquer guia, adicionar seu logotipo e muito mais. À direita, no canto, há uma prévia do portal de visitantes para uma melhor visualização.
Exemplo de configuração de um portal de visitantes com autorregistro
21) Clique em uma frase URL de teste do portal e copie a URL do portal para o SSID no FortiGate na etapa 4. Exemplo de URL
Para exibir seu domínio, você deve carregar o certificado no portal do visitante, consulte a etapa 13.
22) Ir para a guia Centros de trabalho > Acesso de convidado > Elementos de política > Resultados > Perfis de autorização > Adicionar para criar um perfil de autorização sob o criado anteriormente Perfil do dispositivo de rede.
23) Na aba Centros de Trabalho > Acesso de Convidado > Conjuntos de Políticas edite a política de acesso para usuários WiFi.
24) Vamos tentar conectar ao SSID convidado. Ele imediatamente me redireciona para a página de login. Aqui você pode fazer login com a conta de convidado criada localmente no ISE ou registrar-se como um usuário convidado.
25) Se você escolheu a opção de autorregistro, os dados de login único podem ser enviados por correio, via SMS ou impressos.
26) Na guia RADIUS > Live Logs no Cisco ISE, você verá os logs de login correspondentes.
6. Conclusão
Neste longo artigo, configuramos com sucesso o acesso de convidado no Cisco ISE, onde o FortiGate atua como o controlador do ponto de acesso e o FortiAP atua como o ponto de acesso. Descobriu-se uma espécie de integração não trivial, que mais uma vez comprova o uso generalizado do ISE.
Para testar o Cisco ISE, entre em contato e também fique ligado em nossos canais (, , , , ).
Fonte: habr.com